Tras detectar ‘VPNFilter’ hace un año, Cisco Talos prevé futuros ataques que aprovechan grandes redes de dispositivos vulnerables para robar datos o destruir servicios.

En mayo del pasado año, la amenaza provenía de al menos 500.000 routers (para pymes y particulares) y dispositivos de almacenamiento NAS (Network Attached Storage) que habían sido infectados en 54 países, formando una red que los ciberdelincuentes podían utilizar para realizar un ataque masivo, dejar inoperativos los equipos infectados y eliminar el acceso a internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales. Detrás estaría un país opuesto a los intereses políticos de Ucrania.

Para la división de ciberinteligencia de Cisco, ‘VPNFilter’ fue una llamada de atención sobre un nuevo tipo de amenaza respaldada por un Estado: una gran red de dispositivos infectados en todo el mundo capaz de robar datos confidenciales, ocultar el origen de los ataques y destruir redes.

La tortuga marina

Un ejemplo es ‘Sea Turtle’, un ataque presumiblemente apoyado por un país que aprovechó la infraestructura de internet a gran escala para robar credenciales de embajadas y agencias militares, descubierto por Cisco Talos hace un mes.

Esta empresa recuerda que la infraestructura de red sigue siendo objetivo de grandes ataques, probablemente basados en malware más refinado, que deja menos rastro en el tráfico de red y con una infraestructura Command and Control más resistente.

Los dispositivos de red perimetral siempre estarán expuestos a ataques. Por eso se recomienda parchearlos con las últimas actualizaciones de seguridad. La vigilancia también es importante. “VPNFilter se detectó por primera vez al identificar el comportamiento inusual de la red de un dispositivo infectado. La red constituye un sensor clave para detectar la actividad de los ‘ciberdelincuentes’”, concluye.